Безопасностью вашего блога нужно заниматься с самого начала, не откладывая это на расплывчатое «раскручусь и займусь». Тем более что сейчас перед вами подробная инструкция о том, как защитить сайт на wordpress от взлома, вирусов и других неприятностей.
Я раньше задумывалась о безопасности, но не так серьезно. А после этой статьи на сайте А.Борисова подошла к делу серьезно. Нашла в интернете все проблемные места системы и методы их устранения. Получилась довольно большая статья из 14 пунктов!
Как защитить сайт на wordpress
1. Сменить стандартный логин. Первым делом хакеры пробивают такие популярные логины как admin, user, moderator, administrator. Если вы используете один из них, значит вы сделали за злоумышленников половину работы. Особенно часто используется admin – короткий, легко запоминается, сразу видно что важная шишка, поэтому владельцы сайтов не изменяют его на что-то более сложное.
Существует много вариантов, как сменить этот логин, но самый простой:
- Зайти в админку, зайти в раздел Пользователи – нажать Добавить.
- Придумать новому пользователю сложный логин (можно просто набор букв-цифр), и выбрать Роль – Администратор.
- Выйти из текущего пользователя (справа наверху выбрать Выйти).
- Зайти под новым пользователем, которого вы только что создали.
- Поработать с этого аккаунта: создать новые статьи, отредактировать старые, добавить/удалить плагины. В общем проверить, действительно ли он обладает всеми полномочиями Администратора.
- Удалить пользователя с ником admin.
2. Ставим сложный пароль – это именно тот случай, когда использовать свой стандартный пароль в виде qwerty нельзя. Нужно придумать уникальный пароль, очень сложный, из 20-символов с разным регистром, цифрами и разными символами. Если боитесь забыть, запишите в бумажный блокнот. Но не храните его на компьютере. Как придумать сложный пароль можно прочитать в этой статье.
Сложный пароль должен быть не только в админку wordpress, но и для других сервисов, связанных с сайтом: почта, хостинг и т.п.
3. Скрываем логин – как бы вы не пытались придумать супер сложный логин, существует лазейка, позволяющая увидеть его и скопировать. Для этого введите в адресную строку http://Ваш_домен.ru?author=1, подставив ваш домен. Если ссылка не превращается в /author/admin, где admin ваш новый логин, значит все в порядке.
Но если все же там отображается ваш логин, нужно срочно его скрыть с помощью специальной команды в файле functions.php:
/* Подмена логина в комментариях */
function del_login_css($css) {foreach($css as $key => $class) {
if(strstr($class, “comment-author-впишите_действующий_логин”)) {
$css[$key] = ‘comment-author-впишите_вымышленный_логин’; } }
return $css; }
add_filter(‘comment_class’, ‘del_login_css’);
Теперь настраиваем переодресацию на главную страницу, для этого нужно открыть файл .htaccess в корневой папке (с помощью filezilla), и здесь после строчки
RewriteRule . /index.php [L]
Добавить данный текст:
RedirectMatch Permanent ^/author/реальный_логин$ http://Ваш_домен.ru
4. Своевременно обновляем WordPress. Время от времени появляются новые версии, уведомления висят прямо в панели управления. Сделайте резервную копию сайта, обновите и проверьте работоспособность. Чем новее, тем сложнее взломать систему – появляются новые уровни защиты, и старые методики взлома не работают.
5. Скрываем версию WordPress от чужих глаз. По умолчанию данная информация отображается в коде страниц, а злоумышленникам не стоит ее сообщать. Зная вашу версию, ему будет легче распознать бреши и взломать систему.
Так что откройте functions.php для редактирования, а затем добавьте строчку:
remove_action(‘wp_head’, ‘wp_generator’);
Эта простая функция запрещает выводить данные о системе.
6. Удаляем license.txt и readme.html из корневой папки. Сами по себе они не нужны, но с их помощью можно легко прочитать информацию о вашей системе и узнать версию WordPress. Они автоматически появляются снова, если вы обновите wordpress. Так что чистите файлы каждый раз, когда установите обновления.
7. Скрываем папки wp-includes, wp-content и wp-content/plugins/. Для начала проверьте, видно ли содержимое этих папок посторонним. Просто подставьте в ссылки ваш домен и откройте в браузере ссылки:
- http://Ваш_домен/wp-includes
- http://Ваш_домен/wp-content
- http://Ваш_домен/ wp-content/plugins
Если при переходе на эти страницы вы видите папки и файлы, значит нужно скрыть информацию. Делается это очень и очень просто – создайте пустой файл с названием index.php и поместите в эти директории. Теперь при переходе будет открываться этот файл, т.е. пустая страничка без какой-либо информации.
8. Не ставьте бесплатные темы – это уже из личного опыта информация, хотя об этом пишут все и каждый. Но я решила обойти систему, и поставила на другой свой сайт бесплатную тему из интернета – очень уж она мне понравилась. И сначала все было хорошо.
Примерно через полгода я стала проверять исходящие ссылки с сайта, и обнаружила 3 непонятные ссылки. Найти их на самих страницах я не смогла – очень уж хитро их спрятали. После изучения вопроса нашла информацию, что это очень распространенная проблема, когда в бесплатные шаблоны встраивают код для удаленного размещения ссылок. Пришлось потратить целый вечер, но проблему исправила и теперь все в порядке. Но сколько вреда могло это нанести!
Так что сразу ставьте или платные темы, или из проверенных источников. К примеру, можно поставить бесплатный шаблон из курса А.Борисова.
9. Установите нужные плагины для защиты, но обязательно устанавливайте с официального сайта ru.wordpress.org или из панели управления.
- Limit Login Attempts – для ограничения попыток авторизироваться. Если 3 раза неправильно ввести логин и пароль, доступ будет заблокирован на N минут/часов. Вы сами устанавливаете число попыток и время блокировки.
- Wordfence Security – плагин для проверки сайта на вирусы и вредоносные изменения в кодах. Для запуска достаточно установить и нажать Scan. Но после проверки желательно отключить, чтобы не создавать дополнительную нагрузку на сайт. Проверяйте блог на вирусы хотя бы раз в месяц.
- WordPress Database Backup – автоматически высылает на почту резервную копию базы данных вашего сайта. Регулярность можно установить самостоятельно – раз в день или еженедельно.
- Rename wp-login.php – изменяет адрес входа в панель управления со стандартного http://Ваш_домен/wp-admin.
- Anti-XSS attack – защищает блог от XSS-атак.
10. Проверьте компьютер на вирусы – иногда вирусы приходят прямо из вашего компьютера. Так что поставьте хорошую антивирусную программу и своевременно обновляйте ее.
11. Систематически делайте резервные копии – или с помощью плагина WordPress Database Backup, или вручную. У некоторых хостеров это происходит автоматически, так что вы в любой момент можете восстановить сайт при проблемах.
12. Работайте с проверенным хостером, ведь во многом безопасность сайта зависит от качества хостинга. Я месяц назад перебралась на Макхост, и разница с предыдущим ощутима (переезд описала в этой статье). Рекомендовать настоятельно не буду, так как я с ними совсем недолго, хотя подруга с ними год и нарадоваться не может. В общем не берите тарифы за 100 рублей ради экономии, потом можно дорого поплатиться.
13. Разные почтовые ящики для сайта и хостинга. Из вордпресса весьма просто вытащить почтовый ящик, потом его можно взломать и получить доступ к данным. А если хостинг привязан к нему, будет не сложно сменить пароль и забрать сайт себе. Так что заведите отдельный ящик для хостинга, чтобы никто его не знал и не видел.
14. Подключите выделенный IP адрес, чтобы не соседствовать с порно-сайтами, сайтами под фильтром или с вирусами. Так что если у вас есть возможность – получите отдельный IP, чтобы не волноваться из-за этого. Кстати, в сфере блоггеров ходят неподтвержденные слухи, что выделенный IP улучшает позиции в поисковой выдаче.
Теперь вы знаете самые простые способы как защитить сайт на wordpress, и от банальных угроз будете избавлены. Но помимо этого существует еще много других опасностей, от которых так просто не спастить. Как раз для таких серьезных ситуаций Юрий Колесов создал курс «Тотальная защита WordPress».
Отличная подборка рекомендаций. По поводу курса который рекомендуете, в нем все уроки проводит А. Борисов, а хотелось бы чтобы Юрий.
Спасибо, все рекомендации внедил-)
Проверил быстренько свой блог по рекомендациям статьи.
Не мешало бы мне поставить плагин anti-XSS.
А вот заводить отдельную почту для сайта или хостинга наверно уже поздно
Вот это отличные рекомендации!!! Анна спасибо большое, проверил как раз свой блог, все оказалось Отлично! Кстати я месяц назад заказал выделенный IP адрес для своего блога и перешел на защищенный протокол https:// Да, пришлось чуток денежек инвестировать в любимы блог, но оно того стоит!
Хм, спасибо! Будем защищаться! )
О супер. Я как раз искал ответ на данный вопрос и эта статья попалась мне очень даже кстати. Спасибо.
Прочитал пошел внедрять на блоге)
У меня сейчас как раз с этим проблемы. Что только не делаю. За советы спасибо. Только плагин Anti-XSS что-то обновленный я не нашла. Только старые версии.
Если скачал тему бесплатно с themeforest когда дают возможность это сделать то какие плюсы и минусы в этом?
Статья отличная, но хотелось бы сказать отдельное спасибо за подсказку на счет выделенного IP для сайта, после подключения и наблюдения в течении 5 месяцев, позиции сайта улучшились сами собой (хотя сайт не трогали совершенно и не какие работы с ним не проводили). Поэтому вот этот метод реально помогает и как написал автор в какой то степени “защищает” от санкций если у вас по соседству не совсем порядочные сайты обитают.
Хорошая статья, но написана она для спецов в этом деле, только они и сами это все знают.
А я новичек и для меня выполнить все описаное выше сложно. Не понятно в каких директориях файлы и что за чем делать.